Hvad er Kontrol 5.2: Informationssikkerhedsroller og -ansvar?
ISO 27002: 2022, kontrol 5.2 — informationssikkerhedsroller og -ansvar — er en af de vigtigste kontroller i ISO 27002:2022. Det er en ændring af kontrol 6.1.1 i ISO 27002:2013, og den definerer, hvordan organisationer skal definere og tildele informationssikkerhedsroller og -ansvar.
Informationssikkerhedsroller og -ansvar forklaret
Organisationens leder, de øverste informationssikkerhedsofficerer (CISO'er), IT-serviceledelsen (ITSM'er), systemejerne og systembrugerne bidrager alle til robustheden af informationssikkerhed. Dette afsnit opsummerer og diskuterer ansvar for dem, der har disse roller.
Organisationens leder bærer hovedparten af ansvaret
Informationssikkerhed er dit ansvar som administrerende direktør for dit bureau. Derudover fungerer du som organisationens akkrediteringsorgan.
Informationssikkerhed er CISO's ansvar
God praksis i sikkerhedssektoren og i styring er, hvad CISO'er er ansvarlige for. At have denne stilling på plads garanterer det informationssikkerhed forvaltes korrekt på de højeste niveauer i organisationen.
IT Service Management (ITSM) er ansvarlig for at implementere sikkerhedsforanstaltninger samt at levere ekspertise
En ITSM er en højtstående embedsmand i virksomheden. Systemadministratorer arbejder sammen med informationssikkerhedschefen for at udføre den administrerende direktørs strategiske direktiver.
Ejere af systemer er ansvarlige for at vedligeholde og drive dem
Der kræves en ejer til hvert system. Som et resultat heraf påhviler det enhver systemejer at garantere overholdelse af IT-styringsregler og opfyldelse af forretningsbehov.
Systembrugere beskytter systemer ved at overholde politikker og procedurer
Systembrugere er mere tilbøjelige til at overholde sikkerhedsregler og -procedurer, hvis der er en stærk sikkerhedskultur på plads. Ethvert system har iboende farer, og det er op til brugerne at tage ansvar for at afbøde sådanne farer.
At håndtere denne kontrol er afgørende for at sikre, at hver medarbejder forstår, hvad de er ansvarlig for, når det kommer til at beskytte data, systemer og netværk. Det er ganske vist en udfordring for mange virksomheder, især små, hvor medarbejderne typisk har mere end én hat på.
Attributter Kontroltabel 5.2
En attributsektion er nu inkluderet i seneste version af ISO 27002. At definere attributter er en måde at klassificere kontroller på. Disse giver dig mulighed for nemt at matche dit kontrolvalg med typisk industriterminologi. Attributterne for kontrol 5.2 er:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Identificere | #Governance | #Governance og økosystem |
| #Integritet | #Modstandsdygtighed | |||
| #Tilgængelighed |
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med kontrol 5.2?
Formålet med kontrol 5.2 er at etablere en defineret, godkendt og forstået struktur for implementering, drift og styring af informationssikkerhed i organisationen. Dette er en formel organisationsstruktur, der tildeler ansvaret for informationssikkerhed i hele organisationen.
Kontrol 5.2 Forklaret
Kontrol 5.2 omhandler implementering, drift og styring af roller og ansvar for informationssikkerhed i en organisation i henhold til rammerne som defineret af ISO 27001.
Det fremgår af kontrollen, at informationssikkerhedsroller og -ansvar skal være veldefinerede, og at alle involverede skal forstå deres rolle. Typisk tildeles aktiver en udpeget ejer, som påtager sig ansvaret for deres daglige pleje.
Men afhængigt af organisationens størrelse og de tilgængelige ressourcer kan informationssikkerhed varetages af et dedikeret team eller yderligere ansvar tildeles nuværende medarbejdere.
Hvad er involveret, og hvordan man opfylder kravene
Tildeling af roller og ansvar for informationssikkerhed er afgørende for at sikre, at organisationens informationssikkerhed vedligeholdes og forbedres. For at opfylde kravene til denne kontrol bør rollefordelingen formaliseres og dokumenteres, fx i tabelform eller i form af et organisationsdiagram.
- Organisationen bør definere ansvar og ansvarlighed for informationssikkerhed i organisationen og tildele dem til specifikke lederjobfunktioner eller roller.
- Denne kontrol skal sikre, at der er klarhed med hensyn til de forskellige roller og ansvarsområder i organisationen, for at sikre, at der rettes passende ledelsesmæssig opmærksomhed på informationssikkerhed.
- Hvor det er relevant, bør der gives videreuddannelse til individuelle websteder og informationsbehandlingsfaciliteter for at hjælpe med at opfylde disse pligter.
Hensigten her er at sikre, at klare roller, ansvar og beføjelser er tildelt og forstået i hele organisationen. For at sikre effektiv adskillelse af opgaver bør roller og ansvar dokumenteres, kommunikeres og anvendes konsekvent på tværs af organisationen.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Forskelle mellem ISO 27002:2013 og 27002:2022
Som allerede nævnt er kontrol 5.2 i ISO 27002:2022, Informationssikkerhedsroller og -ansvar, ikke en ny kontrol. Dette er simpelthen en modificeret kontrol fundet i ISO 27002:2013 som kontrol 6.1.1.
Formålet med kontrol 5.2 er blevet defineret, og nye implementeringsinstruktioner er inkluderet i den seneste revision af ISO 27002. Selvom essensen af de to kontroller grundlæggende er den samme, er der små forbedringer i 2022-versionen.
For eksempel angiver ISO 27002:2022, at personer, der påtager sig en specifik informationssikkerhedsfunktion, skal være kompetent i viden og færdigheder kræves af rollen og understøttes til at holde sig opdateret med fremskridt knyttet til rollen og nødvendige for at opfylde rollens forpligtelser. Dette punkt er ikke en del af 2013-versionen.
Derudover er implementeringsretningslinjerne for begge versioner lidt forskellige. Lad os sammenligne sektioner af de to nedenfor:
ISO 27002:2013 angiver de områder, som personer er ansvarlige for, skal angives. Disse områder er:
a) aktiverne og informationssikkerhedsprocesserne bør identificeres og defineres;
b) den enhed, der er ansvarlig for hvert aktiv eller informationssikkerhedsproces, bør tildeles, og detaljerne om dette ansvar bør dokumenteres;
c) autorisationsniveauer bør defineres og dokumenteres;
d) For at kunne varetage opgaver på informationssikkerhedsområdet bør de udpegede personer være kompetente på området og have mulighed for at holde sig ajour med udviklingen;
e) koordinering og tilsyn med informationssikkerhedsaspekter af leverandørforhold bør identificeres og dokumenteres.
ISO 27002:2022 er mere fortættet. Den siger blot, at organisationen skal definere og administrere ansvar for:
a) beskyttelse af information og andre tilknyttede aktiver;
b) udførelse af specifikke informationssikkerhedsprocesser;
c) risikostyring af informationssikkerhed aktiviteter og især accept af resterende risici (f.eks. over for risikoejere);
d) alt personale, der bruger en organisations oplysninger og andre tilknyttede aktiver.
Begge kontrolversioner foreslår dog, at organisationer kan udpege en informationssikkerhedschef til at tage det overordnede ansvar for udvikling og implementering af informationssikkerhed og til at understøtte identifikation af kontroller.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvem er ansvarlig for denne proces?
En informationssikkerhedschef er ofte udpeget af virksomheder til at føre tilsyn med oprettelsen og udførelsen af sikkerhedsforanstaltninger og til at hjælpe med at opdage potentielle trusler og kontroller.
Ressourcer og sætte styringen på plads vil typisk tilfalde individuelle ledere. En hyppig praksis er at udpege en person for hvert aktiv, som derefter er ansvarlig for aktivets løbende sikkerhed.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
Du forventes ikke at gøre meget i forhold til at opfylde kravene til den nye ISO 27002:2022 standard undtagen opgradering af dit ISMS processer for at afspejle de forbedrede kontroller, hvis dit interne team ikke kan håndtere dette, kan ISMS.online hjælpe.
Udover at levere en sofistikeret cloud-baseret ramme til dokumentation af ISMS-procedurer og tjeklister for at sikre overholdelse af etablerede normer, strømliner ISMS.online også ISO 27001-certificeringsprocessen og ISO 27002-implementeringsprocessen.
Alle dine ISMS løsninger kan administreres centralt takket være vores cloud-baserede software. Du kan bruge vores brugervenlige applikation til at holde styr på alt, hvad der er kræves for at verificere overensstemmelse med ISO 2K7 specifikationer.
Implementering af ISO 27002 er forenklet med vores intuitive trinvise arbejdsgang og værktøjer, der omfatter rammer, politikker og kontroller, handlingsvenlig dokumentation og vejledning. Du kan definere omfanget af ISMS, identificer risici og implementer kontroller ved hjælp af vores platform – med blot et par klik.
Vi har også et internt team af informationsteknologispecialister, som vil give dig råd og assistance, så du kan demonstrere overholdelse af standarder og dedikation til informationssikkerhed til dine kunder.
For at lære mere om, hvordan ISMS.online kan hjælpe dig med at nå dine ISO 2K7-mål, bedes du ringe til os på +44 (0)1273 041140.
Kontakt i dag for book en demo.
